ARP目前已經(jīng)不只是協(xié)議的簡寫，還成了掉線的代名詞。很多網(wǎng)吧和企業(yè)網(wǎng)絡(luò)不穩(wěn)，無故掉線，經(jīng)濟(jì)蒙受了很大的損失。根據(jù)情況可以看出這是一種存在于網(wǎng)絡(luò)中的一種普遍問題。出現(xiàn)此類問題的主要原因就是遭受了ARP攻擊。

由于ARP攻擊的變種版本之多，傳播速度之快，很多技術(shù)人員和企業(yè)對其束手無策。下面就來給大家從原理到應(yīng)用談一談這方面的話題。希望能夠幫大家解決此類問題，凈化網(wǎng)絡(luò)環(huán)境。

在局域網(wǎng)中，通過ARP協(xié)議來完成IP地址轉(zhuǎn)換為第二層物理地址，實現(xiàn)局域網(wǎng)機(jī)器的通信。ARP協(xié)議對網(wǎng)絡(luò)安全具有重要的意義。這是建立在相互信任的基礎(chǔ)上。如果通過偽造IP地址和MAC地址實現(xiàn)ARP欺騙，將在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞、掉線、重定向、嗅探攻擊。

我們知道每個主機(jī)都用一個ARP高速緩存，存放最近IP地址到MAC硬件地址之間的映射記錄。Windows高速緩存中的每一條記錄的生存時間一般為60秒，起始時間從被創(chuàng)建時開始算起。默認(rèn)情況下，ARP從緩存中讀取IP-MAC條目，緩存中的IP-MAC條目是根據(jù)ARP響應(yīng)包動態(tài)變化的。

因此，只要網(wǎng)絡(luò)上有ARP響應(yīng)包發(fā)送到本機(jī)，即會更新ARP高速緩存中的IP-MAC條目。如：X向Y發(fā)送一個自己偽造的ARP應(yīng)答，而這個應(yīng)答中的數(shù)據(jù)發(fā)送方IP地址是192.168.1.3（Z的IP地址），MAC地址是DD-DD-DD-DD-DD-DD（Z的真實MAC地址卻是CC-CC-CC-CC-CC-CC，這里被偽造了）。當(dāng)Y接收到X偽造的ARP應(yīng)答，就會更新本地的ARP緩存（Y可不知道被偽造了）。那么如果偽造成網(wǎng)關(guān)呢?

Switch上同樣維護(hù)著一個動態(tài)的MAC緩存，它一般是這樣，首先，交換機(jī)內(nèi)部有一個對應(yīng)的列表，交換機(jī)的端口對應(yīng)MAC地址表Port n <-> Mac記錄著每一個端口下面存在那些MAC地址，這個表開始是空的，交換機(jī)從來往數(shù)據(jù)幀中學(xué)習(xí)。

因為MAC-PORT緩存表是動態(tài)更新的，那么讓整個 Switch的端口表都改變，對Switch進(jìn)行MAC地址欺騙的Flood，不斷發(fā)送大量假MAC地址的數(shù)據(jù)包，Switch就更新MAC-PORT緩存，如果能通過這樣的辦法把以前正常的MAC和Port對應(yīng)的關(guān)系破壞了，那么Switch就會進(jìn)行泛洪發(fā)送給每一個端口，讓Switch基本變成一個 HUB，向所有的端口發(fā)送數(shù)據(jù)包，要進(jìn)行嗅探攻擊的目的一樣能夠達(dá)到。也將造成Switch MAC-PORT緩存的崩潰，如下面交換機(jī)中日志所示：

Internet 192.168.1.4 0000b.cd85.a193 ARPAVlan256  
 
Internet 192.168.1.5 0000b.cd85.a193 ARPAVlan256  
 
Internet 192.168.1.6 0000b.cd85.a193 ARPAVlan256  
 
Internet 192.168.1.7 0000b.cd85.a193 ARPAVlan256  
 
Internet 192.168.1.8 0000b.cd85.a193 ARPAVlan256  
 
Internet 192.168.1.9 0000b.cd85.a193 ARPAVlan256  

ARP攻擊時的主要現(xiàn)象

網(wǎng)上銀行、保密數(shù)據(jù)的頻繁丟失。當(dāng)局域網(wǎng)內(nèi)某臺主機(jī)運行ARP欺騙的木馬程序時，會欺騙局域網(wǎng)內(nèi)所有主機(jī)和路由器，讓所有上網(wǎng)的流量必須經(jīng)過病毒主機(jī)。其他用戶原來直接通過路由器上網(wǎng)現(xiàn)在轉(zhuǎn)由通過病毒主機(jī)上網(wǎng)，切換的時候用戶會斷一次線。切換到病毒主機(jī)上網(wǎng)后，如果用戶已經(jīng)登陸服務(wù)器，那么病毒主機(jī)就會經(jīng)常偽造斷線的假像，那么用戶就得重新登錄服務(wù)器，這樣病毒主機(jī)就可以竊取所有機(jī)器的資料了。

網(wǎng)速時快時慢，極其不穩(wěn)定，但單機(jī)進(jìn)行光纖數(shù)據(jù)測試時一切正常。局域網(wǎng)內(nèi)頻繁性區(qū)域或整體掉線，重啟計算機(jī)或網(wǎng)絡(luò)設(shè)備后恢復(fù)正常

ARP欺騙的木馬程序由于發(fā)作的時候會發(fā)出大量的數(shù)據(jù)包導(dǎo)致局域網(wǎng)通訊擁塞以及其自身處理能力的限制，用戶會感覺上網(wǎng)速度越來越慢。當(dāng)ARP欺騙的木馬程序停止運行時，用戶會恢復(fù)從路由器上網(wǎng)，切換過程中用戶會再次斷線。更多內(nèi)容請讀者閱讀：ARP的解決辦法

【編輯推薦】

1. 淺析ARP攻擊的防護(hù)措施
2. 深入解析ARP欺騙攻擊防護(hù)之ARP
3. 深入解析ARP欺騙攻擊防護(hù)之根本防護(hù)
4. 深入解析ARP欺騙攻擊防護(hù)之方法介紹
5. 深入解析ARP欺騙攻擊防護(hù)之實現(xiàn)方式介紹